VU#380058:SignalRGB 内核驱动程序存在不当... 笔记

VU#380058:SignalRGB 内核驱动程序存在不当访问控制和 IOCTL 漏洞

SignalRGB 内核驱动程序 SignalIo.sys 存在两个与不当访问控制和不安全内存处理相关的关键安全漏洞。该驱动程序的设备对象以过于宽松的访问控制创建,允许任何本地用户通过输入/输出控制命令与特权硬件操作进行交互。该驱动程序的七个 IOCTL 处理程序还遭受空指针解引用漏洞。这是由于驱动程序在解引用之前未检查缓冲区指针是否为空。发送具有空输入缓冲区的 IOCTL 会触发此条件。利用这些缺陷可使非特权用户访问敏感驱动程序功能,包括对 PCI 配置空间的读写访问。此外,经过身份验证的本地攻击者可通过利用空指针解引用故意导致内核崩溃。SignalRGB 驱动程序版本 1.3.7.0 已解决这些安全弱点。建议组织更新到此修补版本,并实施针对“自带易受攻击驱动程序”(Bring Your Own Vulnerable Driver)攻击的缓解措施。这些缓解措施包括限制管理权限并强制实施驱动程序阻止规则。